Lei Geral de Proteção de Dados na prática
Como empresas estão se adequando à nova lei
Consenso entre a maioria das empresas, a nova Lei Geral de Proteção de Dados Pessoais traz muitas dúvidas. Na prática, a grande maioria não está preparada para se adequar aos artigos indicados no novo marco.
Bryan Simoni Longo, advogado do escritório Clasen, Caribé & Casado Filho, é enfático ao dizer: “todas as empresas estão sujeitas à nova lei. Independente do porte”. O especialista também esclarece o que são dados pessoais. “Qualquer informação capaz de identificar uma pessoa física seja de forma independente ou por correlação”.
Desta forma, todos os dados pessoais coletados estarão sob a legislação que entra em vigor em 16 de agosto de 2020. Para simplificar o entendimento, o advogado listou todas as atividades consideradas “tratamento de dados”: coleta, produção, comunicação, classificação, acesso, processamento, arquivamento, transferência e até mesmo avaliação constam na nova norma, entre outras.
“A lista é grande, mas como se trata do Brasil, com legislações passíveis de diferentes entendimentos, é preciso se precaver e lembrar que qualquer outra atividade pode ser considerada tratamento de informações pessoais”, enfatiza.
Durante palestra realizada em 05 de fevereiro na sede da Abralimp na capital paulista, o público presente lotou o auditório para esclarecer dúvidas e entender mais sobre a legislação brasileira que regula as atividades de tratamento de dados pessoais.
Dúvidas
“Acredito que o mercado ainda não está preparado. A aplicabilidade dos artigos da lei ainda se encontra envolto em muitas dúvidas. Por isso é fundamental o apoio de uma consultoria jurídica especializada na nova Lei e envolvimento de todas as áreas da organização, pois não se trata apenas de tecnologia, mas sim de processos de negócios e gestão de dados de terceiros”, explica o gestor de TI da Criart Serviços, Alexandre Castelo Branco.
O profissional relata que, como existem muitas dúvidas acerca dos impactos que a lei ocasionará, a empresa buscou no mercado uma consultoria jurídica especializada para orientar sobre as novas exigências e como isso pode afetar os processos de trabalho.
Além disso, os gestores de cada setor e suas respectivas equipes estão trabalhando para identificar os pontos de atenção, as necessidades de ajustes e os possíveis impactos que a nova lei vai promover na rotina da empresa.
Castelo Branco lembra que o segmento de terceirização de mão de obra trabalha com muitos dados de colaboradores e clientes, com isso, ainda existem dúvidas sobre quais informações de terceiros podem ser identificados como sensíveis e não sensíveis.
Vale lembrar que dados sensíveis são informações genéticas, biométricas ou aquelas capazes de causar preconceito ou estigma ao titular. “Por isso é importante ter controle do que entra e do que sai de informação das empresas e promover a conscientização de todos os colaboradores”, explica o advogado.
Incluir dentro dos processos de trabalho a rotina de consentimento de terceiro sobre uso de suas informações também foi apontado por Castelo Branco como um dos tópicos da nova lei que demandam mais esclarecimentos.
Após criar um grupo de trabalho interno, envolvendo todas as áreas da organização com apoio de uma consultoria jurídica especializada, a empresa passou a fazer a revisão de processos de negócio de todos os departamentos para identificar pontos sensíveis e ações para saná-los. “Nosso objetivo é estar em conformidade dentro do período estabelecido pelo governo federal.”, conta o gestor.
Já para Stela Miranda, da PH6 Sistemas de Serviços, ainda é preciso entender claramente a lei e como ela afeta empresas de menor porte. “Todas as medidas de segurança de informações já são tomadas, mas ainda não iniciamos o processo de adequação à LGPD, pois são muitas as questões a serem esclarecidas”, diz.
Alessandro Ferreira, DF Consultores, especialista convidado pela Abralimp para esclarecer sobre a nova lei chama a atenção para o fato de que até mesmo empresas que contam apenas com os dados pessoais de seus próprios funcionários estão sujeitas às penalidades impostas pela LGPD.
“Todas as instituições – empresas públicas e privadas – que coletam, armazenam e gerenciam informações de clientes terão de se adequar criando mecanismos de proteção”, destaca Ferreira.
Transparência
Previsto para passar a valer a partir 16 de agosto, o novo marco civil tem como base a legislação européia, que foi implantada em 2016 e passou a vigorar em 2018. Assim como no velho continente, a lei brasileira evidencia a transparência. “Ao adotar essa prática as empresas estarão com 80% da lei cumprida”, diz o jurista.
A nova legislação assegura que a partir de agora os titulares dos dados terão direito ao acesso (confirmação, acesso e correção de dados pessoais), assim como direito à informação sobre para qual finalidade o dado está sendo coletado e como será compartilhado.
“Outra novidade é o direito à revogação do consentimento. Ou seja, em qualquer tempo o titular pode solicitar que as informações previamente autorizadas não sejam mais utilizadas”, diz Longo. “Direito à eliminação de dados da base legal de tratamento também é outro ponto trazido pela LGPD, assim como a portabilidade da informação”, acrescenta.
Plano de ação
Felipe Ziegler Zugno, supervisor jurídico da Stihl conta que por lá eles já iniciaram os trabalhos de estruturação. “Desde o ano passado estamos trabalhando para o diagnóstico e mapeamento para identificar o que é coletado pela empresa e o tratamento dado a essas informações”.
Zugno revela que foram feitas entrevistas com todas as áreas que tratam dados, para posterior estudo e avaliação das ações. Na primeira etapa – já concluída – todas as finalidades foram mapeadas. “Logo após fizemos a comparação com a lei, identificamos os ‘gaps’ e os riscos e estamos em fase de detalhamento dos planos de ação”, explica.
Por hora, a companhia está trabalhando com 12 planos de ação específicos que foram criados de acordo com o trabalho de diagnóstico e riscos envolvidos. Dentre as ações necessárias está a necessidade de criação de normas internas específicas e sistema de governança.
Não menos importante, um dos planos de ação indicou a necessidade de criação de uma estrutura específica para proteção de dados. A empresa, especializada em ferramentas motorizadas, terá de eleger um profissional encarregado (DPO) para liderar as atividades relacionadas à proteção de dados pessoais na organização.
“Optamos por contratar uma consultoria especializada para nos dar suporte nesta primeira etapa, pois entendemos que realizá-la internamente, sem métodos específicos e experiência, seria difícil”, relembra Zugno.
No início do projeto, a companhia elegeu o que chamaram de “embaixadores” ou “multiplicadores” – líderes de cada área para multiplicar a abrangência das ações tomadas e cuidar para que todos os colaboradores estejam engajados nas mudanças. “O apoio de todos os gestores e da diretoria foi fundamental para a viabilidade da iniciativa. Apesar da dificuldade, é uma lei possível de ser atendida”, avalia o supervisor, que acrescenta: “a mudança será positiva”.
Passo a passo
O advogado esclarece que as etapas de adequação devem ser observadas por todas as empresas. Imersão, implementação e monitoramento são fundamentais para que o plano de adequação seja efetivo. “É preciso cuidar da segurança da informação, implantar um programa de proteção de dados com Relatório de Impacto (DPIA), criar procedimentos internos de governança e compliance, além de fazer a adequação legal à LGPD.”
Para simplificar, o especialista indica um roteiro simplificado de ações:
- Mapeamento dos dados pessoais e identificação dos riscos;
- Avaliação dos riscos em relação às atividades da empresa e às demais leis e regulações aplicáveis às suas atividades;
Na etapa seguinte deve-se:
- Buscar solução ou medida para redução dos riscos graves ou inaceitáveis;
- Monitorar os riscos leves ou necessários para as atividades da empresa, com constante atualização das políticas e processos de proteção de dados;
Após as imersões a serem realizadas pelas empresas o advogado orienta que é preciso fazer adequação de produtos e contratos; elaborar relatórios de procedimentos de atendimento aos titulares dos dados; criar um programa de prevenção e de resposta a incidentes e, por fim, criar políticas de privacidade internas e externas.
O monitoramento a partir da adequação deve ser constante nas corporações. Treinamentos periódicos; acompanhamento de pedidos dos titulares dos dados; revisão e atualização de informações; assessoria para incidentes; contenciosos administrativos e cumprimentos das obrigações deverão estar sempre no escopo das atividades.
Penalidades
Quem não cumprir a lei estará sujeito a penalidades que variam de advertência à multa com teto de 2% do faturamento (limitado a R$ 50 milhões) por infração. “Mas há brechas para o entendimento dos juízes sobre o que é “uma infração”. Se ela será cobrada por uma ocorrência ou multiplicada pelo número de titulares afetados.”, enfatiza Longo.
O advogado chama ainda a atenção para a publicidade da infração. “Ao ser autuada a empresa, além de pagar multa, também deverá veicular uma publicidade negativa paga contando sobre sua infração”. Por fim, o órgão federal responsável por fiscalizar procedimentos sobre proteção de dados pessoais, a ANPD (Autoridade Nacional de Proteção de Dados) ainda poderá bloquear e eliminar os dados relacionados à infração. “Resumindo: é preciso se adequar!”, finaliza.
Foto/divulgação: Gerd Altmann, Succo e Bruno/Germany por Pixabay.